von Julia Reda
Edit Policy: Wir mĂŒssen viele verschiedene, langfristig angelegte Förderstrukturen fĂŒr Open-Source-Technologien aufbauen, fĂŒr sichere und ungefilterte Kommunikation.

Wenn die deutsche EU-RatsprĂ€sidentschaft es mit ihrem strategischen Ziel der digitalen SouverĂ€nitĂ€t ernst meint, muss sie Open-Source-Technologien finanziell fördern, die weltweit unsere Sicherheit und Freiheit schĂŒtzen. Dabei kommt es nicht darauf an, ob etwas “made in Germany” ist, sondern dass die Sicherheit freier Software unabhĂ€ngig ĂŒberprĂŒfbar ist und dass wir sie weiterentwickeln können, egal ob irgendwo auf der Welt ein Unternehmen schließt oder eine Regierung den Geldhahn zudreht.

Jahrelang hat der Open Technology Fund mit öffentlichen Geldern aus dem US-Haushalt freie Software gefördert, die uns allen sichere und ungefilterte Kommunikation ermöglicht – von der verschlĂŒsselten Messenger-App Signal ĂŒber die zensurresistente Surf-Infrastruktur Tor bis hin zur VPN-Architektur WireGuard. PrĂ€sident Trump hat dieser öffentlichen Finanzierung nun ein Ende gemacht und mit der anstehenden PrĂ€sidentschaftswahl ist auch die Zukunft des Open Technology Fund ungewiss. Aber warum machen wir unsere IT-Sicherheit ĂŒberhaupt von den Launen eines zunehmend unberechenbaren US-PrĂ€sidenten abhĂ€ngig? Wo bleibt der europĂ€ische Open Technology Fund?
Ist Digitale SouverÀnitÀt mehr als ein Buzzword?
Digitale SouverĂ€nitĂ€t ist das Motto, mit dem die Bundesregierung wĂ€hrend ihrer aktuellen EU-RatsprĂ€sidentschaft die europĂ€ische Digitalpolitik strategisch neu aufstellen will. Was genau dieses Buzzword bedeuten soll, welche politischen Handlungsempfehlungen sich vom Ziel ableiten lassen, Europa solle digital souverĂ€n werden, ist dabei noch weitgehend unklar. Schlimmstenfalls verbirgt sich hinter digitaler SouverĂ€nitĂ€t der Wunsch der Abschottung nach außen. Bestenfalls beherzigt digitale SouverĂ€nitĂ€t die Werte, die fĂŒr den Siegeszug des Internets verantwortlich waren: Dezentralisierung, flache Hierarchien und genehmigungsfreie Innovation.

In einer global vernetzten Welt sollte die Sicherheit unserer Informationstechnik nicht vom Vertrauen in einige wenige mĂ€chtige Akteure, seien es Staaten oder Unternehmen, abhĂ€ngig sein. Freie Software und Hardware erfĂŒllen dieses Versprechen. Mit hinreichend Zeit und Wissen kann jede:r ĂŒberprĂŒfen, wie diese Technologien funktionieren. HintertĂŒren und SicherheitslĂŒcken, die Geheimdienste oder Kriminelle zur Überwachung oder Manipulation nutzen, können ĂŒberall auf der Welt aufgedeckt und geschlossen werden. Gibt ein Unternehmen ein Open-Source-Projekt auf, können Nutzer:innen es gemeinsam instand halten oder weiterentwickeln. Das ist digitale SouverĂ€nitĂ€t im besten Sinne – Ausfallsicherheit, Nachhaltigkeit, UnabhĂ€ngigkeit nicht durch Abgrenzung nach außen, sondern durch globalen Informationsaustausch und freies Wissen.
EU stellt Förderung freier Software ein
Die Entwicklung und Instandhaltung der Freien Software, die wir tĂ€glich nutzen, kommt jedoch nicht zum Nulltarif. Obwohl die IT-Infrastruktur von Behörden und Unternehmen an vielen Stellen auf freie Software aufbaut, haben Deutschland und die EU deren Förderung viel zu lange Anderen ĂŒberlassen. Im Jahr 2015 konnte ich die EU-Kommission ĂŒberzeugen, ein Pilotprojekt fĂŒr die Förderung der Sicherheit freier Software ins Leben zu rufen, nachdem der Heartbleed-Bug in der Open Source-Bibliothek OpenSSL die AusspĂ€hung verschlĂŒsselter Datenströme ermöglicht hatte.

Obwohl die EU-Kommission sich zum Abschluss des FOSSA-Projekts ĂŒber das “enthusiastische Feedback” aus der Bevölkerung freute, hat sie es versĂ€umt, die Förderung von freier Software zu einem dauerhaften Bestandteil des EU-Haushalts zu machen. Dass sie damit eine strategische Chance vertan hat, zeigt sich an ihrem Schlingerkurs, wenn es um den Einsatz von Software im eigenen Haus geht: So fordert die EU-Kommission aktuell Verbesserungen bei der Sicherheit des Videotelefonie-Dienstes Zoom, der im Zuge der Corona-Krise fĂŒr viele Unternehmen, Hochschulen und Behörden praktisch ĂŒber Nacht regelrecht zu kritischer Infrastruktur geworden ist.

Derweil setzt die EU-Kommission Zoom aber trotz bekannter Sicherheitsrisiken weiter ein, weil es an Open Source-Alternativen fehlt, die die gleiche Leistung bringen. Freie Alternativen zu Zoom gibt es einige, von Jitsi bis BigBlueButton. Doch ohne die nötigen finanziellen Ressourcen können diese Projekte nicht auf dieselbe Serverinfrastruktur bauen, die Ausfallsicherheit garantiert, und weniger in die Bedienbarkeit ihrer NutzungsoberflÀchen investieren.
Ein europÀischer Open Technology Fund
Es ist unverstĂ€ndlich, dass europĂ€ische Behörden ĂŒber die Sicherheitsrisiken proprietĂ€rer Anwendungen klagen, aber nicht in die Weiterentwicklung von Open-Source-Alternativen investieren wollen. Über viele Jahre haben ausgerechnet die USA, die ansonsten eher fĂŒr ihre ĂŒberbordenden staatlichen Überwachungsprogramme bekannt sind, wichtige Open-Source-Projekte finanziell ĂŒber Wasser gehalten, die Journalist:innen und Demokratiebewegungen auf der ganzen Welt fĂŒr ihre tĂ€gliche Arbeit nutzen. Der Open Technology Fund, eine unabhĂ€ngige Organisation, die jĂ€hrlich einen niedrigen zweistelligen Millionenbetrag aus dem US-Haushalt erhalten hat, konnte Menschenrechtsaktivist:innen in Belarus, Hong Kong oder im Iran mit sicherer IT-Infrastruktur zur Umgehung von Zensur und zum Schutz vor staatlicher Überwachung versorgen, bis die Trump-Administration kĂŒrzlich die Förderung eingestellt hat.

Eins ist klar: Europa ist von digitaler SouverĂ€nitĂ€t weit entfernt, wenn es sich fĂŒr die Förderung der sicheren Open Source-Infrastruktur, auf die Demokratiebewegungen, Journalist:innen, AnwĂ€lt:innen und auch Behörden tĂ€glich angewiesen sind, auf die Launen des US-PrĂ€sidenten verlĂ€sst. Die rund 17 Millionen Euro, die die US-Regierung bis vor Kurzem jĂ€hrlich in den Open Technology Fund investiert hat, wĂ€ren durch die EU, oder auch durch Deutschland allein, leicht zu ersetzen. Einem europĂ€ischen Äquivalent zum Open Technology Fund steht also nichts im Wege, außer dem politischen Willen, der Rede von der digitalen SouverĂ€nitĂ€t auch Taten folgen zu lassen. Die Bundesregierung plant zum Beispiel aktuell ein neues “Zentrum fĂŒr digitale SouverĂ€nitĂ€t” beim Bundesinnenministerium, ĂŒber dessen finanzielle Ausstattung und genaue Aufgaben noch wenig bekannt ist.
Kompetenz der Zivilgesellschaft nutzen
Zentral fĂŒr den Erfolg des Open Technology Fund war jedoch stets seine organisatorische UnabhĂ€ngigkeit von der US-Regierung. Damit sich die wichtigsten Open Source-Projekte, die oft von kleinen Gruppen eher regierungskritischer Aktivist:innen betrieben werden, auch auf eine solche Fördermöglichkeit bewerben, muss die Ausgestaltung des Programms in den HĂ€nden der Zivilgesellschaft liegen. Initiativen wie der öffentlich geförderte Prototype Fund der Open Knowledge Foundation Deutschland, deren Vorstand ich angehöre, können hier als Vorbild dienen.

Behörden sind oft nicht spezialisiert darauf, unkomplizierte Förderprogramme zu schaffen, die die Open Source-Community nicht bereits durch die KomplexitĂ€t des Bewerbungsverfahrens abschrecken. Die Bundesregierung darf sich dabei nicht auf formale Kriterien wie NationalitĂ€t oder Wohnort der Entwickler:innen versteifen. Worauf es wirklich ankommt, ist das Bekenntnis der geförderten Projekte zur Offenlegung des Source Code und der freien Weiterverwendbarkeit der Software. Außerdem mĂŒssen sich öffentliche Förderprogramme von dem Ziel lösen, immer nur gĂ€nzlich neue Ideen zu fördern.

Wenn der Heartbleed-Bug eines gezeigt hat, dann ist es die enorme Wichtigkeit, freie Software-Komponenten ĂŒber lange ZeitrĂ€ume instand zu halten, stetig zu verbessern und laufend auf Schwachstellen zu ĂŒberprĂŒfen. Digitale SouverĂ€nitĂ€t schafft man nicht, indem man immer nur der neusten Innovation hinterherrennt, sondern wir mĂŒssen viele verschiedene, langfristig angelegte Förderstrukturen aufbauen. Wenn dann eines dieser Programme, wie nun in den USA geschehen, aus politischen GrĂŒnden ausfĂ€llt, können andere den Schock abfedern.

Die Texte der Kolumne “Edit Policy” stehen unter der Lizenz CC BY 4.0., hier ĂŒbernommen von heise-online. Lesen Sie dort auch Monika Ermerts Überlegungen zu Datenschutz- und Kartellrecht.